Tobfy makróvírus

CH azonosító

CH-13499

Angol cím

Tobfy macro virus

Felfedezés dátuma

2016.08.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Tobfy trójai káros kód vált ismertté, amelynek jelenlegi variánsa a Word dokumentumokban terjed és egy zsaroló vírus terjesztésében is szerepet játszik.

Leírás

Amikor a felhasználó egy ilyen fájlt megnyit, akkor a csalók megtévesztő üzenetekkel arra próbálják rávenni, hogy engedélyezze a makrók futtatását. Amennyiben erre sor kerül, akkor a károkozó előtt szabaddá válik az út és elkezd fájlokat letölteni, miközben rendszeresen kommunikál a vezérlőszervereivel is.

Önmaga ugyan nem okoz közvetlenül helyreállíthatatlan károkat, de a zsaroló vírussal történő fertőzés miatt közvetve már annál több problémát tud előidézni. Végső soron – biztonsági mentések hiányában – akár helyreállíthatatlan károkozáshoz is hozzájárulhat.

Technikai részletek:

1. A felhasználót a makrók futtatásának engedélyezésére kéri.

2. Amennyiben az engedélyt megkapja, akkor interneten keresztül különféle fájlokat tölt le.

3. Létrehozza a rendszeren az alábbi állományokat:

  • %appdata%couth.exe
  • %appdata%csrss_[…].exe
  • %appdata%wsrv_[…].exe

4. Kommunikál a vezérlőszervereivel.

5. Olyan fájlokat is letölt, amelyek egy zsarolóvírushoz tartoznak.

6. Hozzájárul a merevlemez és az elérhető adattárolók titkosításához.

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: isbk.hu